SIDN gaat bij alle opgezegde .nl-domeinnamen voor mailverkeer waarschuwen

[Captain Kirk]

De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, gaat vanaf volgende maand alle houders van opgezegde .nl-domeinnamen waarschuwen wanneer het domein nog mailverkeer ontvangt. Dit zou datalekken moeten voorkomen. De proef duurt een jaar en registrars krijgen de mogelijkheid om zich af te melden.

De afgelopen jaren vonden er meerdere datalekken plaats doordat organisaties domeinnamen opzegden waar nog steeds e-mail naar werd toegestuurd, en deze domeinnamen door iemand anders werden geregistreerd. SIDN heeft een systeem ontwikkeld genaamd Lemmings (deLetEd doMain MaIl warNinG System) dat dergelijke datalekken moet voorkomen.

Opgezegde .nl-domeinnamen worden na een afkoelperiode van veertig dagen voor iedereen beschikbaar. Lemmings kijkt naar het dns-verkeer dat van dag 20 tot dag 30 in deze periode naar het opgezegde domeinnaam wordt verstuurd. Het berekent voor elke domeinnaam een aantal statistieken, zoals het aantal ontvangen mx-query's per dag.

Op basis van de analyse wordt er op dag 30 van de quarantaineperiode automatisch een waarschuwing naar de voormalige houder gestuurd dat er nog legitieme mail naar de domeinnaam gaat. Onder legitieme mail verstaat SIDN alle mail die door een persoon of entiteit gericht is verstuurd naar een ontvanger en geen onderdeel uitmaakt van een grotere campagne. Zo worden spam, marketingmail, socialmedia en bulk-email niet als legitiem gezien.

Daarnaast analyseert Lemmings of een opgeheven domeinnaam mogelijk in gebruik was door een bedrijf of organisatie waarvoor bijvoorbeeld privacy bijzonder belangrijk is. Het gaat dan bijvoorbeeld om zorginstelling of een advocatenkantoor. Op basis van een algoritme worden domeinnamen automatisch in een risicocategorie ingedeeld. Hiervoor maakt het systeem gebruik van een lijst met trefwoorden, zoals 'huisarts' of 'advocatenkantoor'.

Wanneer de domeinhouder op dag dertig een waarschuwing ontvangt heeft hij nog tien dagen de mogelijkheid om de domeinnaam eventueel uit quarantaine te halen, of andere acties te ondernemen. SIDN benadrukt dat het in het dns-verkeer niets kan zien met betrekking tot het daadwerkelijke mailverkeer, dus ook niet de inhoud van de mail, het onderwerp of de naam van de afzender of de ontvanger.

Tijdens twee proeven die vorig jaar plaatsvonden werd in totaal voor 1408 domeinen een waarschuwing verstuurd. Daarvan werden er vijf weer uit quarantaine gehaald. Dat is 0,4 procent van alle gewaarschuwde domeinnamen. Van alle .nl-domeinnamen die in dezelfde periode opgezegd werden, werd maar 0,2 procent weer uit quarantaine gehaald.

Op basis van deze proeven heeft SIDN nu besloten om het systeem voor alle .nl-domeinen in te zetten. Het gaat om een proef die een jaar zal duren en meer informatie over de impact van het systeem moet opleveren. Deze derde proef zal naar verwachting in maart starten. Registrars die niet mee willen doen krijgen de optie om zich af te melden. Uiterlijk twee weken voor de start van de nieuwe proef zal SIDN .nl-registrars hierover informeren.

 

bron: https://www.security.nl